Zuhause »

Wie man Ereignisse bei der Kontoanmeldung in Active Directory überprüft

Starten Sie Ihre kostenlose Testversion

Der erste Schritt zum Schutz des Netzwerks und der Ressourcen Ihrer Organisation besteht darin, die Anmeldeaktivitäten Ihrer Mitarbeiter zu überwachen. Durch die Nachverfolgung der Anmeldemuster von Benutzern können Anmeldungen zu ungewöhnlichen Zeiten, Anmeldungen bei nicht autorisierten Hosts und andere verdächtige Aktivitäten erkannt werden. Außerdem können Systemadministratoren plötzliche Zunahmen fehlgeschlagener Anmeldeversuche erkennen und darauf reagieren, da solche Versuche auf einen möglichen Brute-Force-Angriff hinweisen. Lesen Sie weiter, um zu erfahren, wie Sie die Überwachung von Kontoanmeldeereignissen aktivieren können

Schritte zur Aktivierung der Überwachung von Ereignissen bei der Kontoanmeldung mit der Gruppenrichtlinien-Verwaltungskonsole (GPMC):

  1. Drücken Sie auf Start, suchen Sie nach der Gruppenrichtlinien-Verwaltungskonsole und öffnen Sie sie oder führen Sie den Befehl gpmc.msc aus.
    2. screenshot
  2. Wenn Sie alle Konten in der Domäne überwachen möchten, klicken Sie mit der rechten Maustaste auf den Domänennamen und klicken Sie auf Richtlinienobjekt (GPO) in dieser Domäne erstellen und hier verknüpfen.
  3. Wenn Sie Konten in einer bestimmten Organisationseinheit (OU) prüfen möchten, klicken Sie mit der rechten Maustaste auf diese OU und klicken Sie auf Gruppierungsrichtlinienobjekt in dieser Domäne erstellen und hier verknüpfen.
    4. screenshot
  4. Benennen Sie das Gruppierungsrichtlinienobjekt (GPO) entsprechend.
  5. Klicken Sie mit der rechten Maustaste auf das neu erstellte GPO und wählen Sie Bearbeiten.
    6. screenshot
  6. Navigieren Sie in dem Gruppenrichtlinienverwaltungs-Editor im linken Fensterbereich zu Computerkonfiguration → Richtlinien → Windows-Einstellungen → Sicherheitseinstellungen → Lokale Richtlinien → Überwachungsrichtlinie.
    7. screenshot
  7. Im rechten Fensterbereich sehen Sie eine Liste der Richtlinien, die unter der Überwachungsrichtlinie stehen. Doppelklicken Sie auf Überwachungsereignisse bei der Kontoanmeldung und aktivieren Sie die Kontrollkästchen Diese Richtlinieneinstellungen definieren, Erfolg und Fehler.
    8. screenshot
  8. Klicken Sie auf Übernehmen und dann auf OK.
  9. Gehen Sie zurück zur Gruppenrichtlinien-Verwaltungskonsole und klicken Sie im linken Fensterbereich mit der rechten Maustaste auf die Organisationseinheit oder Domäne, mit der das GPO verknüpft wurde, und klicken Sie auf Gruppenrichtlinienaktualisierung. Durch diesen Schritt wird sichergestellt, dass die neuen Gruppenrichtlinieneinstellungen sofort angewendet werden, anstatt auf die nächste geplante Aktualisierung zu warten.
    screenshot

Sobald diese Richtlinie aktiviert ist, werden Ereignisse im Sicherheitsprotokoll der Domänencontroller (DC) protokolliert, sobald eine Anmeldung vom DC validiert wird.

Ereignisse bei der Kontoanmeldung mithilfe der Ereignisanzeige finden

Sobald die oben genannten Schritte abgeschlossen sind, werden Kontoanmeldeereignisse als Ereignisprotokolle unter verschiedenen Ereignis-IDs aufgezeichnet. Diese Ereignisse können in der Ereignisanzeige angezeigt werden, indem Sie die folgenden Schritte ausführen:

  1. Klicken Sie auf Start, suchen Sie nach Ereignisanzeige (Event Viewer) und klicken Sie darauf, um sie zu öffnen.
  2. Im Fenster Ereignisanzeige navigieren Sie im linken Fensterbereich zu Windows-Protokoll → Sicherheit.
  3. Hier finden Sie eine Liste aller Sicherheitsereignisse, die im System protokolliert werden. en.
    screenshot
  4. Klicken Sie im rechten Fensterbereich unter Sicherheit auf Aktuelles Protokoll filtern.
    screenshot
  5. Geben Sie im Pop-up-Fenster die gewünschte Ereignis-ID* in das Feld <Alle Ereignis-IDs> ein.

    *Die folgenden Ereignis-IDs werden für die angegebenen Ereignisse generiert

    Ereignis-ID Unterkategorie Ereignistyp Beschreibung
    4768 Kerberos-Authentifizierungsdienst Erfolg und Fehlschlag Ein Kerberos-Authentifizierungsticket (TGT) wurde angefordert
    4769 Kerberos-Serviceticket-Vorgänge Erfolg und Fehlschlag Ein Kerberos-Serviceticket wurde angefordert
    4776 Anmeldeinformationsüberprüfung Erfolg und Fehlschlag Der Computer hat versucht, die Anmeldeinformationen für ein Konto zu überprüfen.

    Hinweis: Standardmäßig werden nur erfolgreiche Anmeldeversuche überwacht. Fehlgeschlagene Versuche können überwacht werden, indem Sie dies in der Erweiterten Überwachungsrichtlinienkonfiguration aktivieren.

  6. Klicken Sie auf OK. Daraufhin wird eine Liste der Vorkommen der eingegebenen Ereignis-ID angezeigt.
  7. Doppelklicken Sie auf die Ereignis-ID, um ihre Eigenschaften (Beschreibung) anzuzeigen.
    screenshot

Wie Sie sehen, ist es unmöglich, einen umfassenden Überblick über alle Anmeldungen in Ihrem Netzwerk zu erhalten, wenn Sie die native Überwachung verwenden, um jedes Ereignis zu verfolgen, sobald es auftritt. Ein Administrator müsste nach der Ereignis-ID suchen und die Eigenschaften jedes Ereignisses anzeigen. Dies ist äußerst unpraktisch.

ADAudit Plus überwacht die Benutzeranmeldeaktivitäten in Echtzeit und erstellt detaillierte Berichte. Sie können auch Warnmeldungen für ungewöhnliche Anmeldeaktivitäten erhalten und eine automatische Reaktion darauf einrichten. ADAudit Plus bietet all diese Funktionen und vieles mehr, um Ihr Active Directory zu schützen.

Laden Sie eine kostenlose 30-Tage-Testversion herunter

Überwachen Sie Ereignisse bei der Kontoanmeldung mit ADAudit Plus

Nachdem wir die Überwachung aktiviert haben, können wir als Alternative zur Ereignisanzeige ADAudit Plus, ein AD-Überwachungstool, verwenden, um Anmeldeereignisse in Echtzeit zu überwachen und informative Berichte darüber anzeigen zu lassen.

  1. Laden Sie ADAudit Plus herunter und installieren Sie es.
  2. Hier finden Sie die Schritte zur Konfiguration der Überwachung auf Ihrem Domänencontroller.

Anmeldefehler von Benutzern

screenshot
  • Klicken Sie auf „Details“, um die Anmeldefehleranalyse für diesen Benutzer zu öffnen. Hier werden die möglichen Gründe für den fehlgeschlagenen Versuch angezeigt.
  • Zeigen Sie die häufigsten Anmeldefehler für einen benutzerdefinierten Zeitraum an und lassen Sie sich Ereignisse anzeigen, die während der Geschäfts- oder Nicht-Geschäftszeiten auftreten.

Erste und letzte Anmeldung des Benutzers

screenshot
  • Zeigen Sie die Anmeldeaktivitäten während der Geschäfts- oder Nicht-Geschäftszeiten an.
  • ügen Sie vertrauenswürdige Benutzer zur Liste „Benutzerkonten ausschließen“ hinzu, um ihre Daten aus den Berichten zu entfernen.

Ungewöhnliches Volumen an Anmeldefehlern

  • Sehen Sie sich den ungewöhnlichen Zeitraum und das damit verbundene Volumen der Anmeldungen an.
  • Um weitere Informationen zu jeder anomalen Aktivität anzuzeigen, klicken Sie auf „Details“.

Mit ADAudit Plus können Sie die Anmeldeaktivitäten von Benutzern ganz einfach überwachen und Berichte dazu erstellen.

Laden Sie eine kostenlose 30-Tage-Testversion herunter

Verwandte How-Tos

 
  • Active Directory
  • File servers
  • Windows server
  • Workstation
  • Related Products